Caribe Magazine

Carib Magazine is de toonaangevende aanbieder van kwalitatief Nederlands nieuws in het Engels voor een internationaal publiek.

Moonbounce, de gevaarlijke malware die zich verbergt in het flashgeheugen van moederborden

Kaspersky-onderzoekers hebben voor de tweede keer een bijzonder verborgen UEFI-root ontdekt, omdat deze zich kan verbergen in de SPI Flash-chip van het pc-moederbord. Hierdoor blijft de kwaadaardige code persistent op het doelapparaat, zelfs als het besturingssysteem opnieuw is geïnstalleerd of de harde schijf is gewijzigd. Deze aanpak is al gezien voor mozaïek-, een rootkit die in oktober 2020 door Kaspersky werd ontdekt. ​​Hij bevond zich ook in LOJAX, een concrete wortel onthuld door Eset-onderzoekers in 2018.

Zie ook het filmpje:

In deze twee eerdere voorbeelden werd de kwaadaardige code in de firmware van de SPI-chip ingevoegd in de vorm van een stuurprogramma. In deze nieuwe versie, die Kaspersky MoonBounce noemde, is deze geïntegreerd in de bestaande firmwaremodule (CORE_DXE), en is daarom nauwkeuriger en moeilijker te detecteren.

Het doel blijft echter hetzelfde. Dit omvat het kapen van de opstartprocedure om het besturingssysteem te infecteren. In het geval van MoonBounce resulteert dit in het creëren van malware in de geheugenruimte van de Windows-kernel, waardoor hackers malware kunnen injecteren in het legitieme svchost.exe-proces. Deze malware maakt vervolgens verbinding met Command and Control (C&C)-servers om andere malware te downloaden en te installeren. Het systeem komt dan onder de controle van hackers, wiens doel duidelijk was om gevoelige gegevens te vinden en te infiltreren.

Op basis van een aantal technische bewijzen – het type malware dat wordt ingezet tijdens de infectieketen en het gebruik van een specifiek certificaat voor commando- en controlecommunicatie – geloven Kaspersky-onderzoekers dat MoonBounce wordt aangedreven door APT41, ook bekend als Winnti, is een Chinese hackergroep die bekend staat om zijn aanvallen op softwaretoeleveringsketens (CCleanerAsus). Dit maatwerk is gemaakt door Gemiddeld tot hoog vertrouwen, zegt Kaspersky.

Hoe deze rootkits in de SPI-chip zijn gekomen, blijft echter een mysterie. De onderzoekers veronderstellen echter dat deze infectie op afstand heeft plaatsgevonden.

bron: Kaspersky

READ  Pluto zal volgens een nieuw rapport terugkeren naar de planeet van het zonnestelsel